Hlavní navigace

Příchod hackerů: vánoční malware speciál

Lukáš Erben 23. 12. 2014

Vánoce spojují dlouhou historickou tradici s moderními trendy dneška. Tradičně jsou to svátky klidu, míru, pohody, tradic a v posledních letech také malware. Autoři škodlivých programů, sociálních útoků a nejrůznějších kybernetických podvůdků si zkrátka a dobře chtějí také užít šťastné a veselé.

Nejhektičtější svátky klidu a míru v tomto i přilehlých vesmírech jsou pochopitelně nejen příležitostí vyprodat ze skladů notorické ležáky. Hodí se také skvěle pro myriádu podvůdků a podfuků, z nichž řada si postupně našla cestu do digitálního světa, ať už se jedná o „dočasné“ online obchody, neexistující, ale o to dojemnější charitu, roztomilá elektronická e-mailová přáníčka, jež nádavkem obsahují něco malwaru, seznamovacími a hubnoucími podvody a bezpočtem dalších důmyslů i nesmyslů, které ve sváteční době jaksi lépe či snáze zabírají. Přesto na samotném počátku vánočního malware nebyl zlý úmysl, ale špatný odhad.

Vánoce 1987

Historie vánoční nadílky virů, červů, trojanů a dalšího malware se začala psát v prosinci 1987, kdy spatřil světlo světa e-mailový červ „Vánoční stromek“. Podobně jako řada dalších „škodlivých“ programů osmdesátých let, ani Christmas tree podle všeho nevznikl s cílem škodit. Byl relativně jednoduchou programátorskou hříčkou, která ke svému spuštění (a následnému šíření) navíc vyžadovala nemalou aktivní spolupráci na straně uživatele (na následné události se ale neptala, ani před nimi nevarovala).

Program, který napsal student německé Clausthal University of Technology ve skriptovacím jazyku REXX, byl prostým spustitelným (exec) souborem šířeným coby příloha e-mailové zprávy v prostředí mainframů IBM VM/CMS. Příjemce byl v předmětu e-mailu vyzván k jeho spuštění („Let this exec run and enjoy yourserf“ případně „Just type CHRISTMAS from cms….“), jakmile tak učinil, vykreslil virus na obrazovku symbol vánočního stromku ze znaků ASCII doplněný vánočním přáním – následně ze souborů NAMES a NETLOG získal adresy, na které sám sebe rozeslal. Vzhledem k tomu, jak byly uzly v tehdejších sítích nastaveny (každý soubor, který prošel uzlem, vygeneroval zprávu zaslanou zpět odesílateli), to znamenalo, že po odeslání se uživateli vypisovaly na obrazovce řádově stovky zpráv o odesílaných kopiích Christmas tree. V době předvánočního dokončovacího shonu to nebyla zrovna ideální konstelace.

               *
              ***
             *****
            *******
           *********
         *************                A
            *******
          ***********                VERY
        ***************
      *******************            HAPPY
          ***********
        ***************            CHRISTMAS
      *******************
    ***********************         AND MY
        ***************
      *******************         BEST WISHES
    ***********************
  ***************************     FOR THE NEXT
            ******
            ******                    YEAR
            ******

Štastné a veselé! A stabilní síť k tomu! (Christmas tree)

Následky byly značné. Červ poprvé detekovali 9. prosince 1987 v akademické síti EARNnet (European Academic Research Network), odkud se rozšířil do dalších sítí – nejprve BITNETu a nakonec do hlavní sítě IBM Vnet, kterou 17. prosince, pouhé dva dny poté, co zde byl poprvé zaznamenán, zcela paralyzoval. Jediným řešením nakonec bylo celou síť vypnout a znovu „nahodit“. Autor červa byl nakonec na univerzitě v Clausthalu 21. prosince vypátrán, jeho jméno ale nikdy nebylo zveřejněno (a vzhledem k tomu, že se patrně jednalo o „nehodu“, nejspíš nebyl potrestán – vyjma zákazu další práce s počítačovou sítí). Tím ale sláva Vánočního stromku neskončila. Svůj comeback zažil koncem roku 1990, kdy jej kdosi umístil na Usenet, což vedlo k tomu, že IBM muselo odpojit síť 350 tisíc svých terminálů.

Vánoce 1999

Je svým způsobem dojemné, jak podobný byl první „velký“ vánoční malware ve světě PC a internetu podobný svému předchůdci ve světě mainframů. O „Melisse“ (WM97/Melissa-AG) jsme již v našem seriálu psali. Stala se legendou mezi destruktivními makro viry šířícími se e-mailem – jak díky své agresivitě, tak s ohledem na fakt, že se jejím prostřednictvím podařilo nakazit pětinu všech PC, která byla v roce 1999 připojena k internetu (plus některá nepřipojená). Tím nejzajímavějším v případě Melissy ale je, že její původní „šiřitel“ byl usvědčen a odsouzen ještě před datem, kdy se měly destruktivní funkce aktivovat – tím byl 25. prosinec 1999.

Melissu „vypustil“ na internet na počátku roku 1999 David L. Smith z Aberdeenu v New Jersey (jejím autorem byl kdosi s přezdívkou Kwyjibo), virus byl objeven již koncem března téhož roku – devět měsíců před „osudovým“ datem aktivace. Vzhledem k tomu, že se nejená o samostný program, ale makro pro Microsoft Word, nelze Melissu označit za červa či trojského koně, svým chováním je ale velmi připomíná. Šíří se, podobně jako Christmas tree, pomocí e-mailu, který vyzývá uživatele k otevření .doc souboru v příloze. Po nákaze sama sebe přepošle na prvních 50 kontaktů v e-mailovém adresáři MS Outlook.

Šiřitele Melissy se podařilo vypátrat díky tomu, že wordovské dokumenty obsahují uníkátní identifikační kód GUID, s jehož pomocí se podařilo zjistit i původního autora – nicméně pouze coby zmíněnou přezdívku. David L. Smith se 10. prosince 1999 přiznal k tomu, že virus rozeslal a byl odsouzen k 10 letům vězení a pokutě 5 tisíc dolarů. Byl propuštěn po 20 měsících. Počítačů, na nichž se 25. prosince 1999 Melissa aktivovala, zobrazila varovnou hlášku, přepsala otevřené wordovské dokumenty barevnými obdélníky a pokusila se naformátovat disk C, byl nakonec jen zlomek. 9 měsíců bylo naštěstí dost času, aby byla z většiny nakažených počítačů odstraněna.

(Ne)škodné „fórky“

Zdaleka ne všechny vánoční viry způsobily takové problémy, nebo byly tak destruktivní jako Christmas tree a Melissa. Šířily se sice také nejčastěji emailem, většinou se ale jednalo jen o protivné, oplzlé nebo nevkusné vtipy, které výraznější škody nenapáchaly. Platilo to například o W32/Navidad (2000), který do stavové lišty vkládal podivné ikonky modrého oka a zobrazoval rádobyvtipné hlášky. Podobně W32/Music (2000) email-aware byl vcelku neškodný červík přehrávající úryvek vánoční skladby a Maldal (2001) zobrazoval infantilního Santu s tancujícím sobem. Poněkud drsnějším humorem byl vybaven maďarský virus Zafi-D (2004), který odesílal e-mail s nejrůznějšími přáníčky (včetně vánočních) doplněné o smajlíky které se k sobě chovají až nečekaně „přítulně“. Jednalo se o velmi úspěšnou nákazu – odhaduje se, že na vrcholu šíření byl virem nakažený každý desátý e-mail.

Falešné poplachy

Sváteční termín „odpalu“ nebezpečného malware je pochopitelně příležitostí pro šíření smyšlených poplašných zpráv. Tu první podle všeho podnítila „popularita“ viru Melissa v roce 1999 – s tím, jak se její nebezpečí dostalo do obecného povědomí, se objevila fáma, že hra „Elf Bowling“ (která se v té době také šířila e-mailem) obsahuje virus, jenž se aktivuje 25. prosince – byl to ale nesmysl.

I další populární falešný poplach byl inspirován „vánoční“ malware legendou – zhruba od roku 2010 se na Facebooku opakovaně před Vánoci šíří varování před virem Christmas Tree. Opakovaně bylo prokázáno, že se jedná o hoax. Mohlo by ale také jít o narušení časoprostorového kontinua – podobné varování by totiž mělo smysl o 23 let dříve.

Příležitost pro zavedené značky

Vánoce jsou pochopitelně skvělou příležitostí podpořit šíření osvědčených a spolehlivých nákaz – v roce 2007 to byla například jedna z variant červa Storm (již jsmě o něm psali), o dva roky později si zas nové přátele snažil udělat červ Koobface. Návnady už v těchto případech ale přece postoupily vpřed – uživatelé již nebyli nuceni psát CHRISTMAS do příkazové řádky ani otevírat podivné spustitelné přílohy. Stačilo kliknout na odkaz na zdánlivé video, který vyzval k instalaci „Adobe flash“ (Koobface), nebo na lákavý obrázek děvčat v sexy Santovských kostýmcích, jež uživatele přivedl na stránku obsahující nejnovější verzi malware (Storm). Jejich autoři tak k Vánocům dostali bezpočet hesel nebo služby bezpočtu nových věrných zobmie PC.


Sophos

Chcete legrační vánoční video? Tak si nainstalujte skvělý plugin! (Koobface)

Last Christmas?

Jaké nákazy ovládnou letošní Vánoce pochopitelně nevíme, pokud vás ale zajímá komu přinesly nadílku škodlivého kódu ty minulé, pak vězte, že mezi úspěšné distributory malware o Vánocích 2013 patřilo například Yahoo (nákazou z reklamního serveru, která se šířila mezi 30. prosincem a 3. lednem, mohlo být postiženo až 2,4 milionu uživatelů). Skvělou příležitostí pro šíření nákaz se stala lyžařská nehoda Michaela Schumachera, jejíž udajná nahrávka přilákala miliony potenciálních obětí, které si pro přehrání neexistujícícho videa byly ochotny nainstalovat neexistující flashový plugin, vulgo malware. Během loňských Vánoc byla také objevena zadní vrátka, či spíše vrata, do routerů Cisco, Linksys a Netgear (podobnou kauzu tu máme aktuálně i letos) a bezpočet nejrůznějších útoků probíhal na sociálních sítích (kde se tak ale děje víceméně pořád).

Tak tedy šťastné a veselé!

Odkazy

Našli jste v článku chybu?

23. 12. 2014 8:52

Fenix (neregistrovaný)

Presne jak pise autor. Jeste vcera vecet normalni bezny provoz a i vystup z DenyHosts. V prubehu noci vzestup na cca 1 utok / 15 min. Takze stastne a vesele vsem .......

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: Není sleva jako sleva. Jak obchodům nenaletět?

Není sleva jako sleva. Jak obchodům nenaletět?

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?